NCSC: Kleine kans dat VS Cloud Act inzet bij EU-klant

Europese klanten van cloudaanbieders uit de VS hoeven zich weinig zorgen te maken dat Amerikaanse overheden hun gegevens opvragen op basis van de Cloud Act. Deze Amerikaanse wet maakt het weliswaar voor overheden mogelijk om ook Europese cloudklanten te viseren, maar dit gebeurt in de praktijk vrijwel nooit. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) onderschrijft deze conclusie van Greenberg Traurig, een Amerikaans advocatenkantoor met een vestiging in Amsterdam.

Het NCSC liet aanvullend onderzoek doen naar aanleiding van een eerder rapport over de werking van de Amerikaanse Cloud Act bij dataopslag in de Europese Unie. De wet verplicht Amerikaanse cloudaanbieders om mee te werken als de Amerikaanse overheid toegang wil tot data die hun klanten in Europa hebben opgeslagen. Voor veel Europese organisaties is dit een groot bezwaar en vaak aanleiding om niet met Amerikaanse cloudaanbieders in zee te gaan.

Voorstelbaar, maar kleine kans

De kans dat Amerikaanse autoriteiten daadwerkelijk toegang krijgen tot Europese persoonsgegevens op basis van de Cloud Act, is voorstelbaar maar in de praktijk heel klein. Die conclusie trekt het advocatenkantoor na bestudering van de transparantieverslagen van drie grote Amerikaanse cloudaanbieders, Microsoft, Amazon en IBM. Google, de op twee na grootste cloudaanbieder, is niet meegenomen. De drie onderzochte aanbieders hebben gezamenlijk echter zo'n groot marktaandeel dat de advocaten het aandurven om hun conclusie te veralgemeniseren.

Het komt bij de drie onderzochte cloudaanbieders vrijwel niet voor dat de Amerikaanse overheid een verzoek indient voor de verstrekking van gegevens van Europese klanten. Microsoft ontving sinds maart 2018 twaalf verzoeken, waarvan een onbekend aantal ook nog klanten elders in de wereld betreft. Daarnaast meldde de cloud- en softwareaanbieder in november 2021 nooit aan overheden toegang te hebben verleend tot persoonsgegevens behorend bij organisaties in de publieke sector in de EU.

Twijfel

In 2021 meldde IBM dat de Amerikaanse autoriteiten slechts eenmaal verzochten om de gegevens van klanten in de EU. Het verzoek zou zijn afgewezen. Bij Amazon zou de Amerikaanse overheid nog nooit toegang hebben verleend tot klantgegevens die buiten de VS zijn opgeslagen.

Voor Europese organisaties die toch twijfelen over de impact van de Amerikaanse Cloud Act, hebben de onderzoekers enkele tips. Het gaat om versleuteling van gegevens, beveiligde overdracht naar de cloudaanbieder, gepseudonimiseerde verwerking van de gegevens en beperkte mogelijkheid voor het terug herkenbaar maken van de gegevens.

Het onderzoek werd uitgevoerd in opdracht van het NCSC, dat de conclusies onderschrijft. Volgens het centrum is de Cloud Act slechts een voorbeeld van extraterritoriale wetgeving die doorwerkt op gegevensverwerkingen in Europa. Andere landen kennen vergelijkbare wetgeving.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-11-25T16:45:00.000Z Diederik Toet


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.